📰 Artículos

Movistar corrige un XSS en su web para evitar la inocentada de bandaancha.eu

Joshua Llorach 29 diciembre 2013 11:59 ✎

⋮

Movistar modificó (sin éxito) a última hora de la tarde de ayer el HTML de su web para evitar un fallo cross-site scripting1 que nos permitió elaborar nuestra broma del día de los inocentes al introducir aparentemente en su web información falsa sobre el lanzamiento de una modalidad FTTH de 300 Mbps.

De forma improvisada urdimos una broma para no faltar a la cita del 28 de diciembre. Sabiendo que el código de la web de Movistar es algo caótico y fácilmente podía albergar algún tipo de problema XSS, nos pusimos a buscar en el código fuente alguna oportunidad para realizar nuestra travesura.

La vulnerabilidad la encontramos en el código que se encarga de mostrar el sistema Wisibi, con el que el visitante de la web puede contactar con un comercial de Movistar por su web. Este fragmento, situado en la línea 1019, lee de la dirección introducida en el navegador el parámetro url y más tarde crea un iframe dentro de la web de Movistar mostrando el contenido de la URL que apunta.

Tras copiar el HTML renderizado de su comparativa de modalidades, lo modificamos y albergamos en nuestro servidor. Elaboramos una URL algo rebuscada a partir de la IP en décimal de bandaancha.eu y probamos a pasarla dentro del parametro url.

www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas/?url=http%3A%2F%2F1509452388%2Fetneconi.html%3Flanding%3D2014_broadband_offer

La web de Movistar estuvo mostrando durante todo el día ofertas de 20, 30, 60 y 300 megas, hasta que Movistar decidió intervenir para corregir el problema. Sobre las 21:00 horas, sus responsables, sin tocar el código que que crea el problema, improvisaron un parche llamado en los comentarios "Función arreglo", que previamente comprueba si existe el parámetro url y si es así lo elimina, recargando la página correcta.

if(window.location.href.indexOf('url=')!=-1) { window.location.href='/particulares/internet/movistar-adsl/opciones-tarifas'; }

Hay que resaltar que en ningún momento se ha defaceado, jacqueado o modificado la web de Movistar. Simplemente se trata de una URL algo rebuscada a la que cualquier visitante puede acceder sin tener que saltarse ninguna medida de seguridad.

El problema continúa a pesar del parche

Lo cierto es que incluso con el parche, resulta fácil volver a hacer travesuras con una simple modificación. Visítala mientras dure ;)

http://www.movistar.es/particulares/internet/movistar-adsl/opciones-tarifas?url=http%3A%2F%2F1509452388%2Fetneconi.html%3Flanding%3D2014_broadband_offer

Actualización: Finalmente los responsables de la página han modificado el código por segunda vez para codificar directamente la url que debe cargar el iframe sin generarla a partir de los parámetros.

💬 Comentarios

BocaDePez 29 diciembre 2013 12:28

⋮

Sorprendido estoy. Cómo puede funcionar esta URL: http://1509452388

✖

djnacho 29 diciembre 2013 12:42

⋮

No deberías sorprenderte tanto. Ese número (1509452388) sale de convertir la IP de bandaancha, que está en notación de dirección IP (X.Y.Z.T) a decimal. Los servidores DNS, van a entender la misma dirección, ya sea en notación IP o en decimal (de hecho, antes de buscar en las bases de datos internas, los servidores dns pasan la dirección de notación IP a decimal, ya que es mucho más sencillo para ellos entender números enteros y no en notación IP).

Espero haberte aclarado la duda.
Un saludo :)

✖

BocaDePez 29 diciembre 2013 13:04

⋮

Los servidores DNS no tienen nada que ver, es la librería estándar de funciones del sistema (libc/win32), ver funciones gethostbyname, inet_addr, gethostbyaddr... la que se encarga de pasar de string a hostent

BocaDePez 29 diciembre 2013 13:14

⋮

DNS no pinta nada, ya que estás dando al navegador una IP, y no un nombre de dominio.

Lo que acabo de descubrir yo también es que las librerías del sistema aceptan también direcciones en decimal.

✖

BocaDePez 29 diciembre 2013 14:34

⋮

publibn.boulder.ibm.com/doc_link/en_US/a…net_addr.htm

Solo funciona con IPV4 y antes iba bien para almacenar IPs en las bases de datos.

BocaDePez 29 diciembre 2013 15:15

-1

⋮

BocaDePez 30 diciembre 2013 19:28

⋮

¿por qué está tan sobrevalorado este comentario? Lo que dice es incorrecto.

✖

djnacho 31 diciembre 2013 12:47

⋮

Tenéis razón ;) Los DNS no se usan si se escribe la IP directamente. Fallo de persona con gripe galopante y con las ideas un poco vaya usted a saber donde por la enfermedad.
Mis más sinceras disculpas. Un saludo :)

oute 29 diciembre 2013 12:29

⋮

:-/

¿no os será algo "peligroso" inculparos? Lo digo como el delincuente que presume de lo que ha hecho. No me entendais por favor como que os comparo con ladrones, asesinos, furtivos... Sino porque estas empresas... ya se sabe a veces tienen abogados aburridos que tienen que soltar como si de perros de caza o velocirraptores se tratasen.

Un saludete
--Oute

✖

Josh 29 diciembre 2013 12:34

⋮

No creo que llegue la sangre al rio. Peores las hemos hecho.

Un perito en un juicio dejaría claro que ni siquiera se ha tocado el servidor de Movistar, ya que el efecto se produce en el navegador del usuario, que es donde se ejecuta el javascript. Es una ilusión por decirlo así.

✖

BocaDePez 29 diciembre 2013 12:46

⋮

Que maquina!,el webmaster de movistar con un pie en la calle, :P

BocaDePez 29 diciembre 2013 12:53

⋮

Hoygan kyero hakiear la hipé de villy gates, komo se haze no mas?

✖

BocaDePez 29 diciembre 2013 13:18

⋮

no más,no mames guey.

raxor 30 diciembre 2013 10:44

⋮

Muy buena Josh, me recuerda aquella de los 50/10mb de ono de 2005, mucho mas burda con el alterado para ir a otra web (phising barato).

Siempre has estado un nivel mas friki en este tipo de bromas, sonada fue el error sql que permitia ver el password de la BBDD, y lo mejor es que la bbdd estaba operativa, fuera de produccion pero con graciosos mensajes que dejaron los juankers :)

Por cierto 9 años después sigue sin existir los 10 de subida en los 50MB

Un abrazo bandaancha

BocaDePez 29 diciembre 2013 12:36

⋮

Me auto respondo: pc-help.org/obscure.htm#how

DWORD <-> IP

interesante.

BocaDePez 29 diciembre 2013 13:11

⋮

Este es el problema crónico de España. Empresas como Telefónica, que tendrían que tener a la élite currando para ellos, los mejores ingenieros tendrían que estar deseando entrar en telefónica.

En vez de eso, tienen subcontratados a júniors, haciendo el trabajo de séniors por 1000€ al mes. Y pasa lo que pasa. La culpa no es del chaval que la ha cagado. La culpa es de no tener expertos picando al código de la web de una de las empresas más importantes del país.

✖

BocaDePez 29 diciembre 2013 17:57

⋮

Casi con toda seguridad los que pican el código de la web de Movistar es una subcontrata. Incluso tampoco me extrañaría que también fueran empleados externos los admins del portal.

BocaDePez 29 diciembre 2013 18:33

⋮

Yo trabajo para movisar, ademas a turnos en un 24-7, mismanete ayer estuve de tarde y aunque no estoy en web was, algo de ruido me ha llegado del asunto de algun correctivo se que habia... y ya quisiera yo cobrar 1.000 euros!!! Cobro 700 euros al mes y pico (10.500 brutos al año), y no tengo ni vacaciones, puesto que solo tengo 10 dias de descanso cuando acabo cada rotacion de turno que no puedo ni elegir, estan fijados de antemano.

tampoco tenemos ninguna ventaja por usar movistar, ni descuentos, ni nada de nada, somos la ultima escoria de la compañia, asi es que con nuestro sueldo nadie podemos permitirnos los productos de "la casa"

por haber no hay ni cesta de navidad en estas fechas, supongo que los jefes si recibirán algo, esos si que dicen que cobran bien.

pero veo que no conoceis ni de lejos las condiciones que tenemos los trabajadores de esta empresa.

✖

BocaDePez 29 diciembre 2013 20:24

⋮

Me parece que te estas columpiando.

Busca en el BOE los sueldos de Telefonica de España, de Telefonica Moviles y de Telefonica Soluciones, que son los trabajadores de Movistar.

Los sueldos están fijados por un convenio colectivo que negocian los sindicatos (elegidos democraticamente) y la empresa

El resto son contratas y como en este país enseñan en las escuelas de negocios que 2+2 son 3 que llevo y uno que pago al trabajador, asi nos va. Queremos pagar a los ingenieros 20K y que sean los mejores. Como todo en la vida lo bueno se paga y punto

Salu2

JosepAND 29 diciembre 2013 20:24

-1

⋮

Disculpa pero creo que por lo que trabajas no te puedes quejar.

Trabajas 8 horas diarias a turnos intensivos y cada mes tienes 10 dias de fiesta. Vale que el sueldo no es muy alto, pero joder. Ya quisiera yo tener tus dias de vacaciones.

✖

BocaDePez 29 diciembre 2013 23:48

⋮

Viva el cuencoarrozismo!!

BocaDePez 30 diciembre 2013 11:05

⋮

¿Y no te has parado a pensar que en la mayoría de los trabajos se tienen al menos 8 días de fiesta al mes (sábados y domingos), no se trabajan festivos, se tienen puentes y un mes (o más) de vacaciones y además de tener vida privada (poder quedar con los amigos, llevar a tus hijos al parque un domingo, etc) se suele cobrar más? :-/

No solo puede, sino que debe quejarse.

BocaDePez 8 enero 2014 04:33

⋮

¿Estas diciendo que te conformas con un sueldo de 700€ al mes por 40h semanales? Bienvenido a españistan!

BocaDePez 30 diciembre 2013 00:03

⋮

1000Euros??? joder ojala cobrara yo eso

Esto lo dice un junior de 850 euros! :|

Bilbokoa 29 diciembre 2013 15:08

-1

⋮

Al margen de mi opinión personal en contra de las estúpidas bromas del 28 de diciembre, creo que lo hecho por bandaancha.eu es muy peligroso, porque Telefónica podría emprender acciones legales después de haber dejado en ridículo la web de la primera multinacional de España con miles de millones de euros de beneficio cada año, y que no es capaz de tener su propia web en mínimas condiciones.

Ya veremos qué pasa.

Buenas tardes.

✖

BocaDePez 29 diciembre 2013 23:50

-1

⋮

Se dice Bilbado.

✖

BocaDePez 30 diciembre 2013 13:46

⋮

...

djnacho 30 diciembre 2013 00:20

⋮

Precisamente de este tipo de fallos, es de donde tienen que aprender. Si yo fuera del equipo de webmasters de Telefónica, le estaría dando las gracias a Josh ahora mismo. Lo que ha hecho Josh es una inocentada, pero..., ¿Y si no hubiese sido Josh el que se hubiese dado cuenta del tema, y otro con intenciones mucho más oscuras hubiese petado la web de Movistar, o bien redirigiendo el tráfico hacia otro sitio donde con un exploit nos cogen los datos internos de usuarios y contraseñas?

Creo, que no se ha dejado en ridículo a una de las empresas más potentes del mercado. Simplemente se le ha indicado "eso esta mal, corrígelo por favor". Creo que a todos nos lo han hecho de pequeños. ¿Porqué no a una de las empresas más potentes de España? ¿O es que desde Movistar no atienden sugerencias de mejora para su website?

Un saludo :) y no te preocupes tanto Bilbo que no merece la pena, disfruta del momento ;)

✖

BocaDePez 30 diciembre 2013 08:36

-1

⋮

No no, si quieres ayudar a una web a taparles un agujero de seguridad, primero les escribes avisandolos, luego puedes ponerlo en tu blog avisando que es una BROMA / SIMULACRO o como quieras llamarlo, no haciendo entender que la cosa es una noticia de verdad (el día de los Santos Inocentes no exime de los cumplimientos legales).

Para mi entender, el equipo de abogados de Movistar ya estarán preparando una buena demanda, la cual muy seguramente vayan a ganar. Ya nos irán informando desde aquí...

✖

BocaDePez 30 diciembre 2013 10:57

⋮

En que Ley pone que debes avisar? Eso es una Ley no escrita y se hace por cortesía. Si yo paseo por la calle y me encuentro un coche abierto, me puedo pegar una siesta dentro y si me pillan no me podrán acusar absolutamente de nada mientras no lo rompa ni me lo lleve, y si cuando me voy le digo a un macarrilla que el coche está abierto y este lo roba y/o lo destroza ya no es mi problema.

Y si ponen una demanda estarán reconociendo lo incapaces y chapuzas que son. No creo que quieran poner un altavoz, la verdad.

Luego, en este caso son los usuarios que hemos dado al enlace los que hemos ejecutado el fallo, por lo que iremos detrás de Josh por lo que entiendo?

Y yo me pregunto si tienen un fallo tan previsible que no tendrá si se busca más...

✖

BocaDePez 30 diciembre 2013 14:29

-1

⋮

Haz lo del coche... a ver que te pasa...

✖

BocaDePez 30 diciembre 2013 14:33

-1

⋮

✖

BocaDePez 2 enero 2014 11:44

⋮

✖

BocaDePez 8 enero 2014 04:30

⋮

BocaDePez 30 diciembre 2013 11:01

⋮

Y claro, el derecho de pernada sobre tu hermana o donar el higado en vida son condiciones de verdad.

✖

BocaDePez 30 diciembre 2013 14:30

-1

⋮

Mucho te ofuscas tu, en ningún momento he dicho que quiera que telefónica ponga una denuncia, solo digo lo que creo que va a pasar, lo que yo QUIERO que pase ya es otra cosa distinta.

No te ofusques tanto y habla del tema, no de mi hermana o de mi higado.

djnacho 31 diciembre 2013 12:22

⋮

¿Qué ley es la que dice que si una web tiene un agujero de seguridad debo avisarles del mismo?... Espero que lo pienso... ¿En ninguna?
Además... y si lo miras de otro modo... la gente que se creyó la inocentada seguramente iría a contratar con Movistar, por lo que las visitas a su website pueden haber subido y mucho con la gracia ¿Quien sale ganando? Al final, de lo que se habla es de movistar, y una empresa siempre le interesa que se hable de ella ;)

Un saludo :)

BocaDePez 29 diciembre 2013 15:30

⋮

Lo mejor es que hace dos años ya les dejaron en ridículo con un bug idéntico y no han aprendido absolutamente nada. De hecho, salió publicado en BA:

Ataque XSS a la web de Movistar para protestar por la falta de cobertura ADSL

✖

Soldadito 7 enero 2014 21:18

⋮

Y remontándose muchas años atrás: (link roto)

JosepAND 29 diciembre 2013 20:49

⋮

Sin yo tener mucha idea de HTML, para que la web de movistar mostrara ese iframe alojado en bandaancha.eu, algo se debió modificar del código de movistar.es no?

Si no cómo se hizo para que la web de movistar.es mostrara un iframe alojado en bandaancha.eu?

✖

fervigo 29 diciembre 2013 21:34

⋮

Por lo comentado, dicha página web de Telefónica tenía un iframe al cual cargaba el contenido de la dirección web que se le pasase por el parámetro url de su dirección web. Y era así porque ellos lo hicieron así. No por modificarse nada en su web.

BocaDePez 30 diciembre 2013 00:13

⋮

Enhorabuena bandaancha.eu

BocaDePez 30 diciembre 2013 00:42

⋮

n1, pero me huelo una denuncia de vomistar en 3,2,1...

Los XSS son vulnerabilidades y os habéis aprovechado de un fallo de seguridad hacer un broma.

AntonioAmaya 30 diciembre 2013 06:44

⋮

¡Piratones, que sois unos piratones!.... JAJAJAJAJJA

BocaDePez 30 diciembre 2013 10:55

-1

⋮

Yo no se como lo veis, pero creo que lo que hanhecho es un juego de los que haciamos en primero de carrera ...

Ninguna web es totalmente segura, solo hay que saber buscar los pequeños huecos!

Respecto a lo de telefonica, me parece que es una de las mejores compañias del panorama actual, que esta intentando adaptarse a los tiempos. Cada vez esta internalizando mas, y eso es bueno, tanto para ellos, como para la sociedad en general. Personalmente creo que muchas empresas deberian aprender de telefonica en temas de condiciones laborales. Seguro que si los trabajadores de empresas como Deloitte tuvieran ese tipo de condiciones, en general, los bancos y otras instituciones auditadas y llevadas de la mano en temas fiscales, serian mas productivas.

Un saludo

BocaDePez 30 diciembre 2013 17:49

-1

⋮

Espero que no os salga el tiro por la culata, pero la podíais haber liado parda.

BocaDePez 30 diciembre 2013 20:50

⋮

No es por polemizar, ni quiero entrar en implicaciones legales pero por pura solidaridad "profesional" no os habeis parado a pensar que este "jueguecito" podria:

1. Amargado el dia a alguien. Esto seguro

2. Acabar con el precario empleo de alguien. Bastante posible

Posiblemente este marron haya caido en alguien que trabaja subcontratado y las culpas han ido cayendo desde "arriba" hasta el último pringado que no luede cargar las culpas a nadie más del supuesto "fallo" y aparte de "pringar" vete a saber que consecuencias a tenido.

Como broma no me parece apropiada, y sin ánimo de ofender creo que se os ha ido la pinza. Por favor es mi opinión personal y la he expresado con educación. No trolleeis! ;-)

✖

BocaDePez 30 diciembre 2013 21:59

⋮

Hala, no es para tanto.

Nos ha servido a algunos para aprender que una url determinada de una empresa importante puede haber sido redirigida a un servidor ajeno. Cosa que no sospechábamos.

Y le servirá también a telefónica para lo mismo.

✖

BocaDePez 30 diciembre 2013 23:52

⋮

No si ya se que no es para tanto... el problema es que lo que para ti y para mi es una "gracia" para los diferentes jefecillos de los innumerables departamentos de Movistar... no es tan "gracioso" y no les cuesta nada, joder a un pobre desgraciao.

Lo que quiero decir, es que detrás de estas poderosas empresas hay miles de subcontratas de "pringadillos" que se intentan ganar el pan como pueden y una cosa de estas le jode las fiestas sin NECESIDAD NINGUNA.

Como broma de los inocentes, pon una parida en la web pero no jodas a nadie. Es como colgar un monigote en la espalda al Nerd de la clase para que todos se rian de él... INNECESARIO.

BocaDePez 11 enero 2014 04:11

⋮

Así es... De estas cosas deberian aprender. A nivel informático es terrible ver que un ISP como Telefónica no es capaz de mantener su web ordenada y bien scripteada, imagina la confianza que genera ver cosas como estas. Personalmente nunca he tenido Telefónica, ni de lejos pienso cambiarme a ellos.

Deberia darles verguenza de una manera bruta y descomunal, si fueran decentes harian una purga de su departamento web y de su web. Menudo desorden de código, redundante, parcheado, largo y mal optimizado. Y con los años les tirará aún peor la web si no se renuevan.

A ver si aprenden algo con esto... y menos mal que lo ha hecho alguien con buenas intenciones ... luego encima se quejaran legalmente o algo .. si es que..